Hack me if you can!
"Hack me if you can!" - Das war die Aufforderung unseres Informationssicherheitsbeauftragten an die professionellen White Hat Hacker von greenhats®. Natürlich ließen diese sich das nicht zweimal sagen und haben eine Woche lang alle unsere Systeme auf Herz und Nieren geprüft.
Das Ergebnis? – Die IT-Infrastruktur eines Unternehmens kann noch so gut abgesichert sein, die größte Schwachstelle ist immer der Faktor Mensch. Aber dazu später mehr.
Arwid, erkläre uns doch bitte zunächst einmal, was sind eigentlich White Hat Hacker?
Arwid Zang, CEO greenhats® GmbH:
Grundsätzlich wird ganz plakativ zwischen „bösen" Black-Hat-Hackern und „guten" White-Hat-Hackern unterschieden, also zwischen denen, welche IT-Systeme mit krimineller Absicht hacken und denen, die Sicherheitslücken aufdecken und Unternehmen dabei helfen, diese zu schließen. Das Vorgehen ist dabei ziemlich identisch. Beide versuchen ein Ziel (z. B. ein Unternehmen) mit allen zur Verfügung stehenden technischen Mitteln zu infiltrieren und dabei möglichst unbemerkt zu bleiben. Nur dass es eben bei White-Hat-Hackern vertraglich geregelt ist, welche Systeme in welchem Zeitraum angegriffen werden. Dort reicht es dann auch nicht, nur eine Schwachstelle zu finden und sie auszunutzen – es müssen möglichst alle identifiziert werden, da das Ziel ja darin besteht, diese anschließend auch zu beheben.
Dieses Vorgehen nennt sich White-Hacking oder auch „Penetrationstest" (kurz „Pentest"). Für uns bei greenhats® hat der Begriff des „White-Hackings" aber immer noch etwas Besonderes. Während viele Unternehmen versuchen, Standards für Penetrationstests zu entwickeln und einige Arbeitsschritte automatisieren / Scannern überlassen, ist es unser Ziel, einen echten Hackerangriff zu simulieren und abseits von Prüfkatalogen zu denken. Hacker halten sich eben auch nicht an Standards. Wir verstehen uns daher gerne als White-Hacker und lieben es, wenn unsere Kunden uns freie Hand lassen – so wie 3U. Das bringt am Ende die besten Ergebnisse.
Jörg, gab es einen bestimmten Anlass die greenhats zu beauftragen?
Jörg Dießner, Informationssicherheitsbeauftragter 3U TELECOM GmbH:
Tatsächlich haben wir schon länger mit dem Gedanken gespielt, Pentests in Auftrag zu geben. Zwar sichern wir alle unsere Systeme nach bestem Wissen und Gewissen vor Schwachstellen, dennoch ist man bei noch so sorgfältiger Absicherung nicht vor etwaigen Fehlern gefeit. Um unsere Kundensysteme nachhaltig vor Sicherheitslücken zu schützen, waren wir schon länger auf der Suche nach einem Partner in diesem Bereich. Durch Zufall sind wir dann auf die greenhats® aufmerksam geworden. So waren unsere beiden Unternehmen in diesem Jahr zu Gast beim Mittelhessischen Wirtschaftspodcast Die gelbe Couch, produziert von Werkraum56.
Außerdem wird IT-Sicherheit ja auch nicht unwichtiger, seitdem auf Grund der diesjährigen Pandemie viele Mitarbeiter:innen im Homeoffice sitzen.
Das ist ein gutes Stichwort. Arwid, inwiefern hat sich das Risiko für Unternehmen Opfer eines Cyber-Angriffs zu werden erhöht, seit dem Mitarbeiter:innen vermehrt von zuhause aus arbeiten?
Arwid Zang, CEO greenhats® GmbH:
Das Risiko hat sich definitiv erhöht. Das hat vor allem zwei schwerwiegende Gründe: Einerseits müssen Unternehmen, teilweise unter enormen Zeitdruck, technische Türen nach außen öffnen, wo es vorher keine gab. Das führt beinahe zwangsläufig dazu, dass Sicherheitsrisiken entstehen.
Noch schwerwiegender ist aber der Faktor Mensch. Der war ja schon immer ein beliebtes Angriffsziel von Hackern. Ich muss mir als Angreifer nicht die Mühe machen, tagelang nach technischen Schwachstellen zu suchen, wenn eine einfache gefälschte E-Mail reicht, damit mir ein Mitarbeiter aus freien Stücken sein Passwort gibt. Das Thema Home-Office, oder generell die gesamte aktuelle Situation, hat die Situation noch gefährlicher gemacht. Viele Menschen sind verwirrt und werden täglich mit neuen Situationen konfrontiert, die sie einfach akzeptieren müssen – sowohl privat als auch beruflich. Wenn ich als Angreifer mich nun als Mitarbeiter der IT ausgebe und E-Mails fälsche, in denen ich beispielsweise einen Link für ein neues Mitarbeiterportal für das Home-Office versende, melden sich die Menschen dort einfach an und schicken Ihre Zugangsdaten an mich. Und das ist nur ein einfaches Beispiel. Da ist die IT dann auch verhältnismäßig machtlos. Alles was hilft, ist solche Attacken regelmäßig zu simulieren und die Mitarbeiter auf diese Weise zu sensibilisieren.
Welches Fazit ziehst du aus den Ergebnissen der Sicherheitstest?
Jörg Dießner, Informationssicherheitsbeauftragter 3U TELECOM GmbH:
Auf das eigene Können Vertrauen ist gut, Kontrolle ist besser. Die Pentests der greenhats haben gezeigt, dass unsere IT-Infrastruktur gut ist, in manchen Bereichen aber noch ausgebaut werden kann. So hat die Simulation einer Phishing Attacke gezeigt, dass z. B. das Bewusstsein und die Aufmerksamkeit unserer nicht IT-MitarbeiterInnen noch verbessert werden kann. Besonders wenn diese aus aktuellem Anlass allein im Homeoffice sitzen. U. a. werden wir dies in unseren regelmäßigen Schulungsmaßnahmen zukünftig noch stärker behandeln.
Partner
